域用戶帳戶和組的管理2009-12-15 16:46:24| 分類： | 標(biāo)簽： |舉報 |字號大中小 訂閱（以下操作均在Windows Server 2003系統(tǒng)中實(shí)現(xiàn)，客戶端也是使用2003

域用戶帳戶和組的管理

2009-12-15 16:46:24| 分類： | 標(biāo)簽： |舉報 |字號大中小 訂閱

（以下操作均在Windows Server 2003系統(tǒng)中實(shí)現(xiàn)，客戶端也是使用2003來模擬，和實(shí)際中客戶端使用的XP 操作系統(tǒng)可能會有所不同）

很多企業(yè)都會用到域環(huán)境來實(shí)現(xiàn)管理，域的實(shí)際應(yīng)用非常廣泛。下面我們講解在域環(huán)境下如何管理用戶帳戶和組。在講解過程中我們會涉及到用戶帳戶、計算機(jī)帳戶、組和OU 等對象。

一、域用戶帳戶的特點(diǎn)

和本地用戶帳戶不同，域用戶帳戶保存在活動目錄中。由于所有的用戶帳戶都集中保存在活動目錄中，所以使得集中管理變成可能。同時，一個域用戶帳戶可以在域中的任何一臺計算機(jī)上登錄（域控制器除外），用戶可以不再使用固定的計算機(jī)。當(dāng)計算機(jī)出現(xiàn)故障時，用戶可以使用域用戶帳戶登錄到另一臺計算機(jī)上繼續(xù)工作，這樣也使帳號的管理變得簡單。

附注：

在工作組環(huán)境中，所有計算機(jī)是獨(dú)立的，要讓用戶能夠登錄到計算機(jī)并使用計算機(jī)的資源，必須為每個用戶建立本地用戶帳戶。同時，為了方便實(shí)現(xiàn)用戶對網(wǎng)絡(luò)資源的訪問權(quán)限，我們可以使用本地組來實(shí)現(xiàn)。 本地用戶帳戶和組主要用在本地計算機(jī)。本地用戶帳戶只能登錄到本地計算機(jī)；本地用戶帳戶保存在本地計算機(jī)；本地用戶若需要訪問其它計算機(jī)，需要在其它計算機(jī)上有相應(yīng)的用戶帳戶以便進(jìn)行身份驗證。

二、管理工具

要對域中的用戶和計算機(jī)等對象進(jìn)行管理，我們要使用“Active Directory 用戶和計算機(jī)”管理工具。該工具在我們安裝了活動目錄后會被添加到管理工具中，我們可以在管理工具里找到它。

打開后如圖所示，在窗口的左邊，可以看到我們創(chuàng)建的域。按左邊的“ ”號展開該域

展開后可以找到“users”管理單元，點(diǎn)擊后在右邊就可以看到一些內(nèi)置的用戶帳號和組。當(dāng)系統(tǒng)安裝了活動目錄后，原來的本地用戶和組帳號都沒有了，這些對象會變成域用戶帳號和域本地組，并被放在該“users”管理單元內(nèi)。

三、OU （組織單位）

在域中有很多的對象，包括用戶帳戶、組、共享文件夾和共享打印機(jī)等。這些對象都是集中存儲在活動目錄中并使用“AD用戶與計算機(jī)”管理工具來進(jìn)行管理。但如果這些大量的對象都放在“users”管理單元內(nèi)進(jìn)行管理，會帶來一定的不便，例如不便于查找、難于設(shè)置策略等。

所以為了更好的組織和管理這些對象，引入的“OU”的概念。OU 又叫組織單位，它是一個容器，主要的作用就是用來組織和管理這些對象的。為了便于日后的管理，我們一定的設(shè)計好OU 的結(jié)構(gòu)。

OU 結(jié)構(gòu)的劃分有幾種不同的方法，例如：

按對象類型來劃分。該劃分方法是創(chuàng)建幾個OU ，不同的OU 放不同的對象，比如一個OU 放用戶帳戶，另一個OU 放計算機(jī)帳戶等；

按企業(yè)的組織結(jié)構(gòu)來劃分。方法是為不同的部門創(chuàng)建不同的OU ，把屬于每個部門的對象都放在一個OU 里，比如財務(wù)部的OU 放財務(wù)部的用戶帳戶、財務(wù)部的計算機(jī)帳戶和組等，而業(yè)務(wù)部的OU 放業(yè)務(wù)部的用戶帳戶、業(yè)務(wù)部的計算機(jī)帳戶和組等。這是一種常用的方法；

按地區(qū)來劃分。該方法主要用在有分支機(jī)構(gòu)的企業(yè)，分別為不同的分支機(jī)構(gòu)創(chuàng)建不同的OU ，然后把屬于該分支機(jī)構(gòu)的所有對象都放在相應(yīng)的OU 里。比如一個企業(yè)有廣州總公司、上海分公司和北京分公司，那么就分別為這三個分公司建立三個OU ，一個OU 放廣州總公司的對象，一個放上海分公司的對象，還有一個放北京分公司的對象；

混合劃分方法。該方法是按組織結(jié)構(gòu)劃分和按地區(qū)劃分兩種方法的結(jié)合，先為不同分支機(jī)構(gòu)創(chuàng)建OU ，再在不同的分支機(jī)構(gòu)的OU 里按組織結(jié)構(gòu)來創(chuàng)建子OU 。這也是一種常用的方法。

要創(chuàng)建一個OU ，在“AD用戶和計算機(jī)”管理工具里右擊域名，在彈出的快捷菜單中選擇新建，在子菜單中選擇“組織單位”

在“新建對象 - 組織單位”對話框中輸入組織單位的名稱，例如：XXX 公司

按“確定”后完成了一個OU 的創(chuàng)建

要在該OU 里創(chuàng)建子OU ，右擊該OU ，同樣在彈出的快捷菜單中選擇新建組織單位，分別為不同的部門創(chuàng)建不同的OU ，完成后如下圖所示

四、為用戶創(chuàng)建帳戶

要在OU 里為域用戶創(chuàng)建用戶帳戶，右擊一個OU ，在彈出的快捷菜單中選擇“新建”，并在子菜單中選擇“用戶”

在出現(xiàn)的“新建對象 - 用戶”對話框中，為用戶分別輸入“姓”和“名”，并在“用戶登錄名”中輸入用戶用來登錄系統(tǒng)的登錄名，該登錄名和電子郵件的地址非常象，如：。前面的姓名是用戶的顯示名，顯示名在同一個OU 里必須是唯一的，而用戶的登錄名在同一個域里必須是唯一的。

按下一步后進(jìn)入另一個對話框，該對話框要求為域用戶輸入一個初始密碼，并確保勾選“用戶下次登錄時須更改密碼”選項。

下一步后按“完成”按鈕完成用戶帳戶的創(chuàng)建。

五、限制用戶能登錄的計算機(jī)

在域環(huán)境下，一個域用戶帳戶默認(rèn)是可以登錄到域中任意一臺計算機(jī)的（DC 除外），這樣為用戶提供了方便。因為假設(shè)用戶正在使用的計算機(jī)出現(xiàn)故障了，需要維修，那么該用戶可以用他自己的域用戶帳戶在其它計算機(jī)上登錄域，繼續(xù)完成自己未完成的工作，繼續(xù)使用域中的資源而不會受到影響，但工作組卻沒有提供這樣的方便。

但是如果我們需要限制用戶只能使用某些計算機(jī)來登錄域，那么可以通過設(shè)置用戶帳戶的屬性來實(shí)現(xiàn)。

打開要進(jìn)行限制的用戶帳戶的屬性，找到“帳戶”選項卡，點(diǎn)擊“登錄到”按鈕

在打開的“登錄工作站”對話框中，可以看到默認(rèn)的設(shè)置是用戶可以登錄到“所有計算機(jī)”，要進(jìn)行限制，選擇“下列計算機(jī)”單選按鈕，并在“計算機(jī)名”文本框內(nèi)輸入只允許用戶在其上登錄的計算機(jī)名并點(diǎn)擊“添加”按鈕。如果有必要，可以添加多臺計算機(jī)。

完成后，該用戶只能在指定的計算機(jī)上登錄，而不能在未指定的計算機(jī)上登錄到域。

六、限制用戶登錄域的時間

在默認(rèn)設(shè)置下，域用戶可以在任何時間登錄到域，但如果想限制用戶只能在某些時間才允許登錄到域，而其它時間不能登錄到域，比如說公司規(guī)定只有在星期一到五的8：00到18：00這段時間可以登錄到域，而其它時間不能登錄到域，則可以通過設(shè)置用戶帳戶的屬性來實(shí)現(xiàn)。

打開用戶帳戶的屬性對話框，找到“帳戶”選項卡，點(diǎn)擊“登錄時間...”按鈕

在打開的“XX的登錄時間”對話框中，選定特定的時間段，并選擇“允許登錄”或“拒絕登錄”，確定。

七、設(shè)置漫游配置文件

1、什么是配置文件：

配置文件是用于保存特定用戶工作環(huán)境的特殊文件（一組文件）。用戶工作環(huán)境包括：用戶的桌面設(shè)置、應(yīng)用程序設(shè)置、用戶的“我的文檔”、收藏夾、開始菜單、臨時文件等設(shè)置。每個用戶都有屬于自己的配置文件。當(dāng)一個用戶在一臺計算機(jī)上登錄后，默認(rèn)在計算機(jī)的C ：盤下有一個“Documents and Settings”文件夾，該文件夾用于保存用戶的配置文件，每個用戶都在該文件夾里有一個和自己用戶名同名的子文件夾，該子文件夾保存的就是該用戶的配置文件。

2、為什么要用漫游配置文件：

如果用戶需要經(jīng)常在不同的計算機(jī)上登錄，那么每在一臺計算機(jī)登錄，該計算機(jī)就會為該用戶建立一個配置文件，多臺計算機(jī)意味著該用戶有多個配置文件，這樣可能會出現(xiàn)這樣一種情況：用戶“U1”在計算機(jī)“C1”登錄，然后在“我的文檔”里保存了一個文件“F1”，然后該用戶注銷后在計算機(jī)“C2”登錄，可是當(dāng)用戶打開“我的文檔”時卻找不到他的文件“F1”。這是因為在不同的計算機(jī)上用戶的配置文件并不一致，該用戶只能回到計算機(jī)“C1”的登錄才可以找回自己的文件“F1”。

另外，用戶在“桌面”或“我的文檔”里保存的所有文件實(shí)際上是保存在本地計算機(jī)里，數(shù)據(jù)的備份是需要由用戶自己來完成的。然而，并不是所有用戶都知道“什么是備份”？“如何備份”？

3、漫游配置文件的優(yōu)點(diǎn)：

漫游配置文件是指把用戶的配置文件集中存放在網(wǎng)絡(luò)中的某個專用服務(wù)器中（文件服務(wù)器），當(dāng)用戶登錄時，系統(tǒng)會自動去尋找該服務(wù)器，并找到屬于該用戶的配置文件，然后加載。這時，無論用戶在什么地方登錄，該用戶都可以使用同一個配置文件，不會出現(xiàn)上述的問題，在任何一臺計算機(jī)登錄所獲得的工作環(huán)境都是一樣的。同時，由于所有用戶的配置文件集中保存在同一臺服務(wù)器中，所以也方便了管理員進(jìn)行集中的備份，保證數(shù)據(jù)的安全。

4、為用戶設(shè)置漫游配置文件

首先要找一臺專用的文件服務(wù)器，在該服務(wù)器中建立一個文件夾并共享，共享權(quán)限設(shè)置everyone 寫入權(quán)限。